کاربران و مؤسسات ایرانی، هدف گسترده نسخه Arrow باجافزار CrySis
در روزهای اخیر گزارشهای متعددی در خصوص مشاهده آلودگی به جدیدترین نسخه از باجافزار CrySis در برخی مؤسسات کشور به شرکت مهندسی شبکه گستر واصل شده است.
در نسخه مذکور، پسوند فایلهای رمزگذاری شده به arrow. تغییر داده میشود.
این چندمین بار است که کاربران و مؤسسات ایرانی بطور گسترده ای هدف باجافزار CrySis قرار می گیرند.
باجافزار CrySis – که با نامهای Dharma و Wallet نیز شناخته میشود – پس از نصب شدن، دیسک سخت و پوشههای اشتراکی را – که نام کاربری مورد استفاده باجافزار به آنها دسترسی نوشتن دارد – برای یافتن فایلهای پسوندهای خاص پویش کرده و سپس آنها را رمزگذاری میکند.
باید در نظر داشت که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشههای اشتراکی، همچنان باجافزار از طریق دیگر دستگاههای آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایلهای موجود در پوشه خواهد بود.
بنابراین محدودسازی سطح دسترسی به پوشههای اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس بهروز و قدرتمند از اهمیت بسزایی برخوردار میباشد.
در نسخه اخیر، نام و پسوند فایلهای رمزگذاری شده بر اساس الگوی زیر تغییر داده میشود:
- [file name and extension].id-52219EAC.[hswitt@aol.com].arrow
متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
جزئیات فنی در خصوص باجافزار Crysis در اینجا قابل دریافت و مطالعه است.
باجافزار CrySis از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستمها از طریق پودمان RDP اقدام به آلودهسازی آنها میکنند.
پودمان RDP قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم میکند.
علاوه بر مدیران شبکه که از این پودمان برای اتصال به سرورها و ایستگاههای کاری سازمان استفاده میکنند، در بسیاری از سازمانهای کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه IT، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده میشود.
تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force میکنند.
هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نامهای کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.
در صورت برقرار شدن اتصال، مهاجمان نرمافزاری را بر روی سرور اجرا کرده و از آن برای دستدرازی به تنظیمات و سرویسهای نرمافزارهای ضدبدافزار، پشتیبانگیری و پایگاه داده نصب شده بر روی آن استفاده میکنند. در ادامه نیز فایل مخرب باجافزار را دریافت کرده و بر روی سرور به اجرا در میآورند.
رعایت موارد زیر برای جلوگیری و پیشگیری از اجرای موفقیتآمیز چنین حملاتی توصیه میشود:
- بکارگیری ضدویروس بهروز و قدرتمند
- استفاده از دیواره آتش
- استفاده از رمزهای عبور پیچیده
- اطمینان از نصب بودن تمامی اصلاحیههای امنیتی
- غیرفعال نمودن پودمان RDP در صورت عدم نیاز به آن
- استفاده از پودمان VPN یا Virtual Private Network برای اتصال از راه دور کارکنان و پیمانکاران سازمان
- بهرهگیری از اصالتسنجی دو مرحلهای (2FA)، در صورت امکان
- فعال کردن Account Lockout Policy در تنظیمات Group Policy